أبلغ مختبر الأبحاث 360 Netlab عن تحديد برنامج ضار جديد لنظام Linux، يحمل الاسم الرمزي RotaJakiro ويتضمن تنفيذ باب خلفي يسمح لك بالتحكم في النظام. من الممكن أن يكون المهاجمون قد قاموا بتثبيت البرامج الضارة بعد استغلال نقاط الضعف غير المصححة في النظام أو تخمين كلمات مرور ضعيفة.
تم اكتشاف الباب الخلفي أثناء تحليل حركة المرور المشبوهة من إحدى عمليات النظام، والتي تم تحديدها أثناء تحليل بنية شبكة الروبوت المستخدمة في هجوم DDoS. قبل ذلك، ظل RotaJakiro غير مكتشف لمدة ثلاث سنوات؛ على وجه الخصوص، كانت المحاولات الأولى لفحص الملفات باستخدام تجزئة MD5 المطابقة للبرامج الضارة المحددة في خدمة VirusTotal بتاريخ مايو 2018.
إحدى ميزات RotaJakiro هي استخدام تقنيات تمويه مختلفة عند التشغيل كمستخدم وجذر لا يتمتعان بأي امتيازات. لإخفاء وجوده، استخدم الباب الخلفي أسماء العمليات systemd-daemon، وsession-dbus، وgvfsd-helper، والتي، نظرًا لفوضى توزيعات Linux الحديثة مع جميع أنواع عمليات الخدمة، بدت للوهلة الأولى مشروعة ولم تثير الشك.
عند التشغيل باستخدام حقوق الجذر، تم إنشاء البرامج النصية /etc/init/systemd-agent.conf و /lib/systemd/system/sys-temd-agent.service لتنشيط البرنامج الضار، وتم تحديد موقع الملف الضار القابل للتنفيذ نفسه على أنه / bin/systemd/systemd -daemon و/usr/lib/systemd/systemd-daemon (تم نسخ الوظيفة في ملفين). عند التشغيل كمستخدم قياسي، تم استخدام ملف التشغيل التلقائي $HOME/.config/au-tostart/gnomehelper.desktop وتم إجراء تغييرات على .bashrc، وتم حفظ الملف القابل للتنفيذ باسم $HOME/.gvfsd/.profile/gvfsd -helper و$HOME/ .dbus/sessions/session-dbus. تم إطلاق كلا الملفين القابلين للتنفيذ في وقت واحد، حيث قام كل منهما بمراقبة وجود الآخر واستعادته في حالة إنهائه.
ولإخفاء نتائج أنشطتهم في الباب الخلفي، تم استخدام العديد من خوارزميات التشفير، على سبيل المثال، تم استخدام AES لتشفير مواردهم، وتم استخدام مزيج من AES وXOR وROTATE مع الضغط باستخدام ZLIB لإخفاء قناة الاتصال. مع خادم التحكم.
لتلقي أوامر التحكم، اتصلت البرامج الضارة بأربعة مجالات عبر منفذ الشبكة 4 (استخدمت قناة الاتصال البروتوكول الخاص بها، وليس HTTPS وTLS). تم تسجيل النطاقات (cdn.mirror-codes.net وstatus.sublineover.net وblog.eduelects.com وnews.thaprior.net) في عام 443 واستضافتها شركة الاستضافة في كييف Deltahost. تم دمج 2015 وظيفة أساسية في الباب الخلفي، مما سمح بتحميل المكونات الإضافية وتنفيذها بوظائف متقدمة، ونقل بيانات الجهاز، واعتراض البيانات الحساسة، وإدارة الملفات المحلية.
المصدر: opennet.ru